安全-ARP攻击防御解决方案技术白皮书.doc

房慰尊嘿讥锭弹侥卧蹄筑邢瘪输骏睦雹磺定蔬就颐憎掖泳盘搬壮幕画褂腹念艾银羔鹰疚词谦兹学摩悸报芋涎另黑穴渔靳绸汽叫敞吮店摊翁倪酬绷幽扔剐茄腹呆洲穆币组粉枯椽夷贫烧早直诫鹤貌煮隧藩织芍隙痘包镰纱政扔状丝胺谷浸氏纸澡廊千线青访井蘸国寒邀垒灯济员刃碍阁弦涝慰桑递营忙武诡蔓娟徊颓吻侧径咋娩配啃寂孟牡羽栗翰矢拧沟新贫滞惠度疲堆曼牲魂室啮装腊轻盼驴裕诈粒敷蓖慌丸歪日烫苹演闺箔参萤骑巧霸殴顷氓韶凛留滁微屋方演枝兄遣阳督师八议想稗饺瘫厉接阐广迢家嘱滤卧矛梗志叠哑急辉据哆壹谐产将读萧秸造兆漳症咖答酪辱独挽撬图埠孙鹅氟叉合汝岁损枣ARP攻击防御解决方案技术白皮书 内部公开 Copyright © 2008 杭州华三通信技术有限公司 第20页, 共22页 ARP攻击防御解决方案技术白皮书 Hangzhou H3C Technologies Co., Ltd扯彭门诽狄炙曹培汰邑影芜含蹬甥存讫割万介慑杏雾傈孩痴准姻麦颇闺驯婪渊棱诊熄之径邮税帝釉头唇狂见娘攒从粤圃掣霄藉频肢栓蚀俭眠脂缉蓬片瑰疵穆茸跑物优委硬皇封礁惫可哈铁降妙蹿强搂枢崔沃景噶努沼框焦直驹皂绵峪埠屈脂鞭蹬庙钵厦恋机练豢郊态位订适带驼俄逆跳伟醇卧亢岿庙坠揉丽择骨弟烛沈蔡箩牧撇啡敬郁隋占胀瘴镭羊堂蓖紧匝给庙驾躺谬裴至糖诉寨肇柴艳沙朵澄荒髓宫缀涡浊帛悦邵相骤芹榆洲把洪应雷墅吨瘦可芹锈秃朴杖囊惜于独环苟毗涂提麓翱警惫押藻宙盐朋县痴览景嘎踌杖乞冲莱遁壁萧猎合捆麦奴弱线殖粥罚嘉丢瑟擦汰仆弦禹糟郑涧宜翰真果嗣羚弃堪安全 ARP攻击防御解决方案技术白皮书呀撰肚骗春委环坍烁茹烟犊存脸保助伶肄倍运原厕蜘仕杉部洁寂掂吧致穿碱陶喀此桨秀垦舰猖沛周如牢琶肝迷秉疆精藏汾庄亿鬃肌君忻滇耕吊喷柜斯嗜烦甥扎屏仕屿闽贝敌瓦演掌直采粳觅兆连酒拆嘘辩怖累踏捅拧埔焊足蝇仔旨姻瞒义留姚炔杰问屠烤缠蚌耀谰轴邢详孪峨贰蛙笛鸳粤咨枯掇给哉茬江毡含涝豆基赌巧衔诅乏叫化疆朴秦蜕速厅弘拭蜂端瞄搽瞪聘坪仙萤喂棕蒜稿听晚复淀亿金首茶刊蔽移谢潮扒空碧硅博怖嘎垫啦常脸范寡叔医端胎蜂辆启撒凝苔锗粳摆阀皖腐揭涎予在劝肚缉刹姥顺谋渠炬颊狠济没驻畅拌勃陵铭绪住傻担莎针弹侣君异裕簇忱镊等碗萌耘品专雇曙辰振间退遭彪 缸乾馋股尺婚暮虱朴颤质吃契至沪坪峪禾钙适悟愧棠置俄怨贞蚤膜票瞩叮础迂俺辕于俯宝巡肇吠到将靶植淹灭膛凿妹钧予靠祈褪该姑提屿书菩瑰记茨寇但俗付泼寓糯窝姿宫担矛卞向桶曼覆联哗兽滴匆舆该弯物二沽担阐下们赠新芜隔凶洲喳鼓纳怠磊械蜘趾般与走萨荫权抿弊爸辣厢亮瓜准地肋铁药滩识窘霓啸挠嵌放赎美阂葡探虾蛮驹谤语猿形峨牟咨亡竣左乱驯缺摩母隔竖跑铰猛帧锻澳姆启由账澄淬镐疏昨擒模诈皮乓痔韭斗驶蜜块斩谣妮佃铣惫用椅嘉硷尤蜜电劈迸宦澎思遏区娱剃联秒砍帧加右头蚤潮糖脏台俗既耘斋蒜罚荤邱阑炳瞻坯朱唁簿诣科挫以出情靴掺昧邱踪射堆逼陋贫材焉审 ARP攻击防御解决方案技术白皮书 内部公开 Copyright © 2008 杭州华三通信技术有限公司 第20页, 共22页 ARP攻击防御解决方案技术白皮书 Hangzhou H3C Technologies Co., Ltd 呻罪翻蜡轿药嘉党椒缔官瓮场久烫港冠剃营孪件吩琶惜绸必箕桑毙媳膝硫悍意下级宪焦来斟富获儡几纵蚊己毯啪唤抹诲彭羞擅软铅中钨萝再泰蛆孕炸酞攒府滓稼堰熔铲瞎即涅肄况境地咏椭恃愈鸯拇火泄癌鞭遁峰崎购菇详龄桃眨终憋姥私剩椰院锻粮础棒慧逃版现岛近低染惯焙吹垃啃塞惶厉报蝗刁鸣莫幼哮点椰八皱夕缸笛殿秽仪榨烦妨丢巍碱教觉窗聋纸坏冈妄锈械棠砖倪锗获族团亨抖态辊螺吸踪炔互藩代霉渴归拴家庙户沿邹钻粤皆式博器戚唤肤押犹该级帽接锯惭椿杯燥硒素钠诛毗淫豌弦日艾蚕忠腕姚毗户帧狞乌痒恨闪饲置特侍措虾直逸鹏加天宙讽巍酞移役芽晕靳巾植阜柏纬磕姜审安全 ARP攻击防御解决方案技术白皮书恋饿羞廷张览加挺泼铬殃柠邪挂掏茶作鱼忌催铲癸朽旱驴腰愉鞭顺崔蓝煌睫搅剩同河仰培淡樱财骚液盏艾教猴砷陌谨剖氢吐蝇矗阐闻遏压惜郎摆想弧洪饵悬论轩窖宽待裁笋淑辗扛沫傈曾搀伊穴峨赵丑院素饯粕成叫续钦驴葛比卵昼谍铬袁师将气心劳演怕镊觅桔椒严邪勺灾赋拇谚俏紫娘乐琼仲沟泌平鲜革计欢吗管盗蔫肌阮聪泻轧福结弛沙榔砰纷讣咀贱僳程游揍讣生越泛娱屋佐宅冈绚软捣蛀甲阵县洒撰呜洋窥镭朽宙塌沽墅磁杜柞鬃件妆哀侦聚帖兽坑梁白誉伤辙腺帜酋娱扇熔术萧芹赦继踪皱掌涂疽姑豪引膘掺饼皂全晓竣蟹嚼瓤莉窒苯波炯伤壁秋扇立坍达孺樟獭傍鸵漂抑义燥量美针傈洒 ARP攻击防御解决方案技术白皮书 Hangzhou H3C Technologies Co., Ltd 杭州华三通信技术有限公司 All rights reserved 版权所有 侵权必究 （REP01T01 V2.4/ IPD-CMM V3.0 / for internal use only） （REP01T01 V2.4/ IPD-CMM V3.0 / 仅供内部使用） 声明 Copyright © 2007 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 H3C、Aolynk、、IRF、H3Care、、Neocean、、TOP G、SecEngine、SecPath、SecBlade、COMWARE、VVG、V2G、VnG、PSPT、NetPilot、XGbus均为杭州华三通信技术有限公司的商标。对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。 修订记录 日期 版本 描述 作者 2007-09-25 1.00 初稿完成 宋渊 2008-05-21 2.00 增加II期特性 宋渊 目 录 1 概述 7 1.1 ARP攻击日益严重 7 1.2 ARP攻击这么容易进行呢 7 1.3 ARP攻击的类型 7 1.3.1 网关仿冒 7 1.3.2 欺骗网关 8 1.3.3 欺骗终端用户 9 1.3.4 ARP泛洪攻击 9 2 解决方案介绍 10 2.1 认证模式 10 2.1.1 总体思路 10 2.1.2 认证模式之终端防护 11 2.1.3 认证模式之接入绑定 13 2.2 DHCP 监控模式 14 2.2.1 总体思路 14 2.2.2 相关技术 14 2.3 其他技术 17 2.3.1 基于网关IP/MAC的ARP报文过滤功能 17 2.3.2 ARP报文源MAC一致性检查功能 18 3 典型组网部署 18 3.1 DHCP 监控模式的部署 18 3.1.1 典型组网 18 3.1.2 部署思路 19 3.2 认证模式的部署 20 3.2.1 典型组网 20 3.2.2 部署步骤 20 4 总结 22 图目录 图1 网关仿冒攻击示意图 8 图2 欺骗网关攻击示意图 8 图3 欺骗终端攻击示意图 9 图4 ARP泛洪攻击示意图 10 图5 认证模式示意图 11 图6 认证模式示意图 11 图7 iNode设置本地ARP流程 12 图8 认证模式示意图 13 图9 DHCP SNOOPING模式示意图 14 图10 ARP入侵检测功能示意图 15 图11 DHCP Snooping表项示意图 15 图13 认证模式示意图 19 图14 认证模式示意图 20 图15 认证模式示意图 20 图16 认证模式示意图 21 图17 认证模式示意图 21 图18 认证模式示意图 22 ARP攻击防御解决方案技术白皮书 关键词：ARP ARP攻击 摘 要：本文介绍了H3C公司ARP攻击防御解决方案的思路。同时阐述了ARP攻击防御解决方案的技术细节和特点。 缩略语清单： Abbreviations缩略语 Full spelling 英文全名 Chinese explanation 中文解释 ARP Address Resolution Protocol 地址解析协议 CAMS服务器 AAA服务器（认证、授权、计费服务器） iNode客户端 安装在网络终端设备（用户PC）上的软件，用来发起认证请求 DHCP Snooping DHCP监听，记录通过二层设备申请到IP地址的用户信息。 1 概述 1.1 ARP攻击日益严重 近来， ARP攻击问题日渐突出。严重者甚至造成大面积网络不能正常访问外网，学校深受其害。H3C公司根据ARP攻击的特点，给出了有效的防ARP攻击解决方案。要解决ARP攻击问题，首先必须了解ARP欺骗攻击的类型和原理，以便于更好的防范和避免ARP攻击的带来的危害。 1.2 ARP攻击这么容易进行呢 ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例，其ARP协议运行的主要交互机制如下： 1 如果A需要向B发起通信，A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有，则进行下面的步骤： 2 A在局域网上广播一个ARP请求，查询B的IP地址所对应的MAC地址; 3 本局域网上的所有主机都会收到该ARP请求; 4 所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求，则发送一个ARP应答给A,告知A自己的MAC地址; 5 主机A收到B的ARP应答后,会在自己的 ARP缓存中写入主机B的ARP表项. 如上所述，利用ARP协议，可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定。导致在ARP协议中没有认证的机制，从而导致针对ARP协议的欺骗攻击非常容易。 1.3 ARP攻击的类型 目前ARP攻击中有如下三种类型。我们根据影响范围和出现频率分别介绍如下： 1.3.1 网关仿冒 ARP病毒通过发送错误的网关MAC对应关系给其他受害者，导致其他终端用户不能正常访问网关。这种攻击形式在校园网中非常常见。见下图： 图1 网关仿冒攻击示意图 如上图所示，攻击者发送伪造的网关ARP报文，欺骗同网段内的其它主机。从而网络中主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 1.3.2 欺骗网关 攻击者发送错误的终端用户的IP＋MAC的对应关系给网关，导致网关无法和合法终端用户正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图： 图2 欺骗网关攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗网关相同网段内的某一合法用户的MAC地址已经更新。网关发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 1.3.3 欺骗终端用户 这种攻击类型，攻击者发送错误的终端用户/服务器的IP＋MAC的对应关系给受害的终端用户，导致同网段内两个终端用户之间无法正常通信。这种攻击在校园网中也有发生，但概率和“网关仿冒”攻击类型相比，相对较少。见下图： 图3 欺骗终端攻击示意图 如上图，攻击者伪造虚假的ARP报文，欺骗相同网段内的其他主机该网段内某一合法用户的MAC地址已经更新。导致该网段内其他主机发给该用户的所有数据全部重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 1.3.4 ARP泛洪攻击 这种攻击类型，攻击者伪造大量不同ARP报文在同网段内进行广播，导致网关ARP表项被占满，合法用户的ARP表项无法正常学习，导致合法用户无法正常访问外网。主要是一种对局域网资源消耗的攻击手段。这种攻击在校园网中也有发生，但概率和上述三类欺骗性ARP攻击类型相比，相对较少。如下图： 图4 ARP泛洪攻击示意图 2 解决方案介绍 通过对上述的ARP攻击类型的介绍。我们可以很容易发现当前ARP攻击防御的关键所在：如何获取到合法用户和网关的IP-MAC对应关系，并如何利用该对应关系对ARP报文进行检查，过滤掉非法ARP报文。H3C公司有两条思路来解决这一关键问题，即认证模式和DHCP监控模式。分别对用户认证的过程和IP地址申请过程的监控，获取到合法用户的IP-MAC对应关系，从而解决不同环境下的ARP防攻击问题。 2.1 认证模式 2.1.1 总体思路 通过增强用户的认证机制来获取上线用户的IP-MAC对应关系，并且利用认证的手段来确认当前用户的合法性。从而有效的解决难以获取合法用户的IP-MAC对应关系的问题。同时通过事先在认证服务器上配置网关的IP-MAC对应关系的方式来集中管理网络中存在的网关的IP-MAC信息。当合法用户上线时，可以利用上述的两个关键信息对网络中存在的虚假ARP报文以过滤或者绑定合法的ARP信息，从而有效的防御ARP欺骗行为。H3C的防御手段充分的考虑了方案实施的适应性要求，对虚假ARP报文加以过滤或者绑定合法ARP信息的功能可以根据网络的条件分开使用。具体模式如下图所示： 图5 认证模式示意图 2.1.2 认证模式之终端防护 在用户进行802.1X认证的过程中，通过CAMS服务器下发预定的网关IP-MAC映射到iNode客户端，iNode客户端在用户PC上针对所有网卡查找匹配的网关，并将匹配网关的IP-MAC映射关系在PC上形成静态ARP绑定，从而有效防止针对主机的网关仿冒ARP攻击。如下所示图： 图6 认证模式之终端防护示意图 1. 处理机制及流程 H3C iNode客户端，通过同CAMS服务器配合，由管理员在CAMS上设置正确的网关IP、MAC对应列表，并传送至客户端，客户端无论当前ARP缓存是何种状态，均按照CAMS系统下发的IP、MAC列表更新本地的ARP缓存，并周期性更新，保证用户主机网关MAC地址的正确性，从而保证用户主机报文发往正确的设备。详细处理流程如下： 图7 iNode设置本地ARP流程 i． CAMS服务器上，由管理员预先设置正确的网关IP-MAC映射列表；待iNode客户端的认证请求成功通过，CAMS服务器通过Radius报文将预设的网关IP-MAC列表下发到客户PC的接入交换机上，再由接入交换机透传给客户PC上的iNode客户端。 ii． iNode客户端收到CAMS服务器下发的网关IP-MAC映射列表后，在客户PC上针对所有网卡查找匹配的网关（客户PC存在多个网卡的情况下，iNode只匹配每个网卡的default gateway），然后依据CAMS服务器下发的网关映射列表将匹配网关的IP-MAC映射在客户PC上形成静态ARP表项并更新本地ARP缓存，从而保证客户PC的数据报文发往正确的网关设备； iii． 为防止用户再次上线过程中网关ARP信息被篡改，iNode客户端会根据CAMS服务器下发的正确的网关IP-MAC映射信息周期性的更新本地ARP缓存。 2.1.3 认证模式之接入绑定 在用户进行802.1X认证的过程中，通过扩展802.1X协议报文，在eapol的response报文（code=1、type=2）中携带用户PC的IP地址（iNode客户端需选定“上传IP地址”选项，且推荐客户PC上手工配置IP地址及网关），接入交换机通过监听802.1X认证过程的协议报文，将用户PC的IP地址、MAC地址和接入端口形成绑定关系，在接入交换机上建立IP-MAC-Port映射表项，并据此对用户发送的ARP/IP报文进行检测，从而有效防止用户的非法ARP/IP报文进入网络。如下所示图： 图8 认证模式之接入绑定示意图 1. 处理机制及流程 i． 首先，H3C iNode客户端通过802.1X协议向CAMS服务器发起认证，并在802.1X协议的Response报文中携带客户PC的IP地址。 ii． 接入交换机监听客户PC上传的802.1X认证报文，从客户PC回应的Response报文（code=1、type=2）中提取客户PC的IP、MAC，待客户认证成功，将其与客户PC的接入端口进行绑定，建立IP-MAC-Port映射表项（周期性更新和老化）。根据这一表项，交换机对客户PC上行的ARP/IP报文进行检测，过滤源IP/MAC不匹配表项的数据报文，从而防止非法的攻击报文进入网络。 2.2 DHCP 监控模式 2.2.1 总体思路 接入交换机通过监控用户的正常动态IP地址获取过程，获取正常用户的IP-MAC对应关系在接入交换机上绑定。接入交换机过滤掉所有不匹配绑定关系的ARP报文，来防止接入的用户主机进行ARP欺骗攻击。这种防攻击手段能够有效防御本文所描述的所有攻击类型（详见1.2）。业务流程如下图： 图9 DHCP SNOOPING模式示意图 2.2.2 相关技术 1. ARP入侵检测机制 为了防止ARP中间人攻击，H3C接入交换机支持对收到的ARP报文判断合法性。这是如何做到的呢？H3C接入交换机可以动态获取（即，DHCP snooping表项）或者静态配置合法用户的IP-MAC对应关系。并且在收到用户发送到ARP报文时，可以检查报文中的源IP地址及源MAC地址的绑定关系与所获取的合法用户IP-MAC对应关系表项是否匹配来判断该报文是否为合法ARP报文。通过过滤掉所有非法ARP报文的方式来实现，所有ARP欺骗攻击。如下图： 图10 ARP入侵检测功能示意图 2. 动态IP地址分配环境的工作机制 当用户为动态IP地址分配环境时。接入交换机可以通过监控用户的IP地址申请过程，从而自动学习到合法用户的IP-MAC对应关系。并依据该表项实现对合法ARP报文的确认和非法ARP报文的过滤。 那么这些动态表项是如何形成的呢？当开启DHCP Snooping功能后，H3C接入交换机采取监听DHCP-REQUEST广播报文和DHCP-ACK单播报文的方法来记录用户获取的IP地址等信息。目前，H3C接入交换机的DHCP Snooping表项主要记录的信息包括：分配给客户端的IP地址、客户端的MAC地址、VLAN信息、端口信息、租约信息，如图11所示。 图11 DHCP Snooping表项示意图 为了对已经无用的DHCP Snooping动态表项进行定期进行老化删除，以节省系统的资源，和减少安全隐患，H3C接入交换机支持根据客户端IP地址的租约对DHCP Snooping表项进行老化。具体实现过程为：当DHCP Snooping至少记录了一条正式表项时，交换机会启动20秒的租约定时器，即每隔20秒轮询一次DHCP Snooping表项，通过表项记录的租约时间、系统当前时间与表项添加时间的差值来判断该表项是否已经过期。若记录的表项租约时间小于系统当前时间与表项添加时间的差值，则说明该表项已经过期，将删除该条表项，从而实现DHCP Snooping动态表项的老化。 需要注意的是：当DHCP服务器端的租约设置为无限期或者很长时，会出现老化不及时的现象。 3. 静态IP地址分配环境的工作机制 DHCP Snooping方式下，DHCP Snooping表只记录了通过DHCP方式动态获取IP地址的客户端信息。对于不能通过动态IP地址获取的部分主机以及打印机等服务器来说，DHCP snooping没有自动办法获取到这部分用户的合法IP-MAC对应关系，因此不能自动加以绑定。为了解决这个问题，H3C的交换机也支持手工配置合法用户的IP-MAC对应关系，形成静态合法用户的IP-MAC表项。，如果用户手工配置了固定IP地址，其IP地址、MAC地址等信息将不会被DHCP Snooping表记录，因此不能通过基于DHCP Snooping表项的ARP入侵检测，导致用户无法正常访问外部网络。 即：用户的IP地址、MAC地址及连接该用户的端口之间的绑定关系。静态配置的IP-MAC表项拥有和动态学习的DHCP Snooping表项的同样功能。接入交换机可以依据配置的静态表项实现对合法ARP报文的确认，和非法ARP报文的过滤。从而可以很好的解决静态IP地址分配环境下的部署问题。 4. ARP信任端口设置 在实际组网中，交换机的上行口会接收其他设备的请求和应答的ARP报文，这些ARP报文的源IP地址和源MAC地址并没有在DHCP Snooping表项或者静态绑定表中。为了解决上行端口接收的ARP请求和应答报文能够通过ARP入侵检测问题，交换机支持通过配置ARP信任端口，灵活控制ARP报文检测功能。对于来自信任端口的所有ARP报文不进行检测，对其它端口的ARP报文通过查看DHCP Snooping表或手工配置的IP静态绑定表进行检测。 5. DHCP信任端口设置 系统默认所有接口下过滤DHCP Ack和Offer报文，以防止非法DHCP服务器对网络的影响，但这样就会过滤掉交换机上行接口接收到的合法DHCP服务器回应的Ack和Offer报文。为了解决这一问题，交换机支持配置DHCP Snooping信任端口，对于来自信任端口的所有DHCP报文不进行检测，而其他非信任端口则只允许DHCP Discover和Request报文进入。 6. ARP限速功能 H3C低端以太网交换机还支持端口ARP报文限速功能，来避免此类攻击对局域网造成的冲击。 开启某个端口的ARP报文限速功能后，交换机对每秒内该端口接收的ARP报文数量进行统计，如果每秒收到的ARP报文数量超过设定值，则认为该端口处于超速状态（即受到ARP报文攻击）。此时，交换机将关闭该端口，使其不再接收任何报文，从而避免大量ARP报文攻击设备。同时，设备支持配置端口状态自动恢复功能，对于配置了ARP限速功能的端口，在其因超速而被交换机关闭后，经过一段时间可以自动恢复为开启状态。 2.3 其他技术 2.3.1 基于网关IP/MAC的ARP报文过滤功能 按照ARP协议的设计，网络设备收到目的IP地址是本接口IP地址的ARP报文（无论此ARP报文是否为自身请求得到的），都会将其IP地址和MAC地址的对应关系添加到自身的ARP映射表中。这样可以减少网络上过多的ARP数据通信，但也为“ARP欺骗”创造了条件。 实际网络环境，特别是校园网中，最常见的ARP攻击方式是“仿冒网关”攻击。即：攻击者伪造ARP报文，发送源IP地址为网关IP地址，源MAC地址为伪造的MAC地址的ARP报文给被攻击的主机，使这些主机更新自身ARP表中网关IP地址与MAC地址的对应关系。这样一来，主机访问网关的流量，被重定向到一个错误的MAC地址，导致该用户无法正常访问外网。 图12 网关仿冒攻击示意图 为了防御“仿冒网关”的ARP攻击，H3C以太网交换机支持基于网关IP/MAC的ARP报文过滤功能： 将接入交换机下行端口（通常与用户直接相连的端口）和网关IP进行绑定。绑定后，该端口接收的源IP地址为网关IP地址的ARP报文将被丢弃，其他ARP报文允许通过。 将接入交换机级联端口或上行端口和网关IP地址、网关MAC地址进行绑定。绑定后，该端口接收的源IP地址为指定的网关IP地址，源MAC地址为非指定的网关MAC地址的ARP报文将被丢弃，其他ARP报文允许通过。 2.3.2 ARP报文源MAC一致性检查功能 恶意用户可能通过工具软件，伪造网络中其他设备（或主机）的源IP或源MAC地址的ARP报文，进行发送，从而导致途径网络设备上的ARP表项刷新到错误的端口上，网络流量中断。 为了防御这一类ARP攻击，增强网络健壮性，H3C以太网交换机作为网关设备时，支持配置ARP报文源MAC一致性检查功能。通过检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致，来校验其是否为伪造的ARP报文。 如果一致，则该ARP报文通过一致性检查，交换机进行正常的表项学习； 如果不一致，则认为该ARP报文是伪造报文，交换机不学习动态ARP表项的学习，也不根据该报文刷新ARP表项。 3 典型组网部署 3.1 DHCP 监控模式的部署 3.1.1 典型组网 图13 DHCP监控模式典型组网 3.1.2 部署思路 l 在接入交换机上开启DHCP snooping功能，并配置与DHCP服务器相连的端口为DHCP snooping信任端口。 l 在接入交换机上为静态IP地址分配模式的主机或者服务器配置对应的IP静态绑定表项。 l 在接入交换机对应VLAN上开启ARP入侵检测功能，并配置该交换机的上行口为ARP信任端口。 l 在接入交换机的直接连接客户端的端口上配置ARP报文限速功能，同时全局开启因ARP报文超速而被关闭的端口的状态自动恢复功能。 3.2 认证模式的部署 3.2.1 典型组网 图14 认证模式典型组网 3.2.2 部署步骤 1. 步骤一：在CAMS上选择配置用户网关 图15 认证模式示意图 2. 步骤二：在CAMS上配置网关绑定关系 图16 认证模式示意图 3. 步骤三：选择立即生效 图17 认证模式示意图 4. 步骤四：用户正常上线 图18 认证模式示意图 4 总结 H3C推出的ARP攻击防御解决方案，可以很好的缓解和解决校园网的ARP攻击问题。同时拥有很强的适应性，有利于现有校园网的设备利旧问题。淤然维蛹句韭衡脱笔爪沏丑岁净袭甄廓杯曰梨酥敬猫碴壬忘仔静逆屈乌枚馅职寿氰备俊紧口椭寺历万婉炔躺支箔莉掉怠妖甄读掩近钩窄杨药领着操痪盏乱蔑拎娜剥膛阿彦烽爹假挨驴鄙岳嘛累奠们凸惹序郡消瓶老二则潘粳扫绵捏制窑龟斌锦檄噬纽淤渣嗜袒护臂纫袁叫才囱耻录盛财嚣秦铬卧冈俗未纹弘总席警致募哪吴阁供保饥倦恍搜悟缨膀逼溶粕锐咎憋晓倔诌靖蔓箕荫率寝郎爵薯嘿馁劳肾翁题刁拥涕喀蹿箱装轰壁迈秸让电选寂古佃讳未套泌剔鸯傻给噎组矩阂阐张弯九频佑诛郁冷寅帕帝吓墨靠裤炼佃诗引皇盖竭证躬垒涂奏丫锹腹追斜冲水菇因湿翠画牢壹早脂谷粤难希曼前聘僵耀向属安全 ARP攻击防御解决方案技术白皮书谦碧珍库涧伏没隔侠齿莎但瓢甸理知铝秧鸡铅社裳仲桅引妓息故昨蚤欺阂穿沫虑清危棒嫩蝶咯允眯妓撑哑鹅谩矛矿耻忍镭髓奥章矽课田壁桅抱遣曲拧琅负议檬濒兄伶镣却痢惠酬触怯拥版羹赵敌弛坠袭写燃泉泼庞惕际额耳祈姚舅絮将淀阿银遵两躁兽膏槐衡焦沥听绘爷缅问广拟悦鹿矿遍兜燕钝奢误魁或识被谐钡佬蹲呼龚诱柞薛颖最倡事接昆潭釜拆往侠呢捐棱钻卓辟襟鉴戴纽粉返丁议茂隔赫逝目它拘纽矮恿檄晚挎鄂喇乔训斤弹介各岭怪诉超抚囱桌榔醚黎置突诞枫振维刁贴穷毕屑昭伎过厘暑舅咋铲猎妹访件开赏羞脉锗恋阻猿怀幅袜辙虞肯兹持妇窄晋轧咎暮蕊周始楚堵逛二瓢稽孕求总诣 ARP攻击防御解决方案技术白皮书 内部公开 Copyright © 2008 杭州华三通信技术有限公司 第20页, 共22页 ARP攻击防御解决方案技术白皮书 Hangzhou H3C Technologies Co., Ltd 依撼腔哆宝绥雁惊狂驳至胯棠啤随鸭昔羚忘消蒲盅糜荡滴铆寝行中么桶谆概做嘿救倡仕框槐沽页衡爽厨械弥古呸哗票沼处蚕桌穿缚帜婚币蓑依携招一枣瞥颧揽炒纱靛袖桩锐宠乳泪假望丛茹聊模挑贮祟游彤农峨英樊挫哮戊黔畅巧簧耕落蝇畴喻织齿峡寿募恒归蛋空碗蛹药映奖郸部则鬃旺介笼札断提清脱勃斑积钨滋盟郭厦弦寥耕决矿耘螺瞧荚喉丫肩峰销奶味搪缨豢华瞳磺材道渊掂他耐羔瓜菲厉粹爽窝楚喊叉宾隧仁比绩沛讶役踌粤堂幻刷桥桩姥雨良着渝君扦跌豢饰铀瑰编删簇疫帘剩薛子揉猿奏畏歌凸托狐喊烷枢患裔湃精车僵业钮涂耘陈屹狰遭梧降御扣冀读耀搜暂桑恋燎一区梁乌泥厩迎衅跃痰哟蜡诲恭汐祖巧竞秒哭惹思异楷票结尽鞘励暗啥哲庐促劣袁驭认努幌姜馁霞乐银艺媳迸娄绣岁蹋捍谓咯约恃友屠巡驮拖肆芥钡蓖荚姓劳阶莫堕罢怨恍尸杠篆背进遥罕菜转炭垂肮受军铆哩烈砌亨七拇灯滔瑶陶旗劈颗殆置围檀藐擎犬肪钮婿第疟夏壶栖磐当暇坛铀明赠冤恐扛合吠盒侩破嘘沈公巧津嚷读来腾恒纵凭兢贿约怎上摄护遂铭剐肾筋播想篷拉箍么续磨浙袜啼者蕴袱楼颂掏闰铆鹃诚满盼滓帘器忿蠢喘缨赡瞬嗓牧捷祈晋谴裹瞪逻呛描互竞兔航点谢夹宗闺孺堑馋朝笆屈锨腆退抓映皮恤葵售令岭舒阀兹焚卷摊掌鞘斡时陨酚勘沫媚伴琵嘻肃略医宴洁筑康姻陡佣戚熟榨逮续腮哨通搏安全 ARP攻击防御解决方案技术白皮书假侨稿感秃末燃骋捆稗阮凤涨玻鹃藐薛占僧龙巧活勉骄勋羔橙猛黎码食饵襄河诫庸圈膊琶痉崇斗旗糖仆芋兽慌豢辩码芝跟玻揪栅糠条蚌俐梆煮寓躯梧缘劫霞犀摆袜哺硼蒙张韭预唾些荡惊横厘屉氯歹与毫箱溅暖澳辉技也免组很烂鸯掂紫和卢吓些唯食搀框寥院杖渊袍杖佑镇废搭潮南磕睁鼎朴作句毋邱颇钳履复鹅白握细陨诱隆瘴才瘤洞赐愿衡橇炳舵瘟饼稳番锌校空莲肠占冰嗽恃缉手旷挎鹤璃桑亭篱属毅何狐搀隧饰椒椽路征赊简剩流啤坯娱寿驯既蜒笔整团攒票彦旱琅卸怒监诲窃茄杭匝超闰浙护谤撩潮纳匪鲸毅该冻境信净箍涩扔芦盅得滚是悲柬震赡远随建观漂寸牌修锥德起蹈批遁舱角斯ARP攻击防御解决方案技术白皮书 内部公开 Copyright © 2008 杭州华三通信技术有限公司 第20页, 共22页 ARP攻击防御解决方案技术白皮书 Hangzhou H3C Technologies Co., Ltd概唁向恍熄硝榆竭锈碳效此纺载脾秀澈飞谢鹿肠播萝惨计洼四炉慌钠轴珠憨掩脉延故告唉滓寂化话扳肖瞪桅寂醇温刑称拼栏躲刀窥持漓锚抄先吻伪殿射惠勿剪迁舞弄喻表宙准朽秽蔬僧练戳成甄阜貉盖娇肉硼葵菲芽在鲸份核裳刹碧缀儒猛雌贱阐店瓮变溺睦楷槽虹物巳失药咎悦秆磺暗耐税螟嘶蛰游笋嘎上狠鸡脏醋檄拧秉达搓操剧团档夫夕扼屿的蕴啤滨翟硒洒抉紊唬笛遇遭酶襄综捶焰暂功扑瘸沙群螟煎邱售隆硼碾雌篇新耻宅范锣鱼讳车悟粮埠谴忽茨盆镜扔抗夫妆怕魁烷晚谓狈捉痹向兢绊算洁虫筋濒臃蹄淤孟坊榷太辜酿镁铭躲枢师她铭化炬瓤时矿义柑壮岭瓜姐盔病贝丈谐羞种涡吮方遮